Sidney vd Boogaard - stock.adobe
DORA: Warum Reaktionsfähigkeit entscheidend ist
DORA verlangt mehr als reine Compliance. Entscheidend ist die operative Umsetzung: schnelle Erkennung, korrekte Klassifizierung und konsequente Reaktion auf Cyberangriffe.
Der Paradigmenwechsel weg von reiner Prävention hin zu einem Resilienzmodell aus Prävention, Detektion, Reaktion prägt die aktuelle Debatte rund um Cybersicherheit im Finanzsektor. Die zentrale Frage lautet: Wie schnell erkennen Organisationen einen Angriff und bringen ihn unter Kontrolle? Regulatorische Anforderungen wie DORA strukturieren den Umgang mit Cyberrisiken.
Ob die vorgesehenen Maßnahmen in der Praxis tragen, zeigt sich insbesondere dann, wenn Sicherheitsereignisse unter Zeitdruck bewertet, eingedämmt und – falls erforderlich – fristgerecht gemeldet werden müssen. Die eigentliche Herausforderung ist also, regulatorische Anforderungen in der Praxis wirksam umzusetzen.
Neue Bedrohungslage: Geschwindigkeit als entscheidender Faktor
Die Anforderungen aus DORA treffen auf eine Bedrohungslandschaft, die sich rasant weiterentwickelt. Automatisierte Angriffswerkzeuge und KI-gestützte Methoden verkürzen die Zeit zwischen dem ersten Zugriff und der lateralen Bewegung im Netzwerk erheblich. Fehlen geeignete Schutzmaßnahmen, bewegen sich Angreifer lange Zeit unentdeckt durch das Netzwerk, bis der Schaden sichtbar wird. In Angriffsfällen entscheidet die Zeitspanne zwischen erster Auffälligkeit und aktiver Reaktion über den weiteren Verlauf. Genau hier setzt DORA an und fordert eine permanente Überprüfung der eigenen Systeme.
Ein wirksamer Hebel dabei ist kontinuierliches Schwachstellenmanagement. Es schafft Transparenz über IT-Systeme und Assets, lässt sich vergleichsweise günstig umsetzen und schließt viele Einfallstore, die im laufenden Monitoring immer wieder auftauchen. Wer seine Angriffsflächen kennt und aktiv reduziert, entlastet nachgelagerte Erkennungs- und Reaktionsprozesse erheblich und legt damit eine operative Grundlage für alle weiteren DORA-Anforderungen.
DORA fordert, Vorfälle zu erkennen, korrekt zu klassifizieren, zu bewerten und innerhalb definierter Fristen zu melden. Diese Anforderungen setzen eine hohe operative Geschwindigkeit und präzise Analysefähigkeiten voraus. Moderne Angriffsmuster machen daher auch verhaltensbasierte Analysen notwendig sowie die Korrelation von Ereignissen über mehrere Systeme hinweg. So können Organisationen Zusammenhänge frühzeitig sichtbar machen. Kennzahlen wie Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR) sind dabei zentrale Steuerungsgrößen.
Von der Erkennung zur korrekten Einordnung
Die größte Hürde liegt oft darin, die regulatorische Relevanz eines erkannten Angriffs richtig zu bewerten. DORA verlangt eine Business-Impact-basierte Klassifizierung von Sicherheitsvorfällen. Organisationen müssen dementsprechend einschätzen, welche geschäftlichen Auswirkungen ein Vorfall hat und ob daraus eine Meldepflicht entsteht.
In der Praxis führen Unternehmen dafür Daten aus unterschiedlichen Quellen wie Endpoint-Systemen, Netzwerken und Identitätssystemen zusammen. Einzelne Events liefern isoliert betrachtet kaum belastbare Erkenntnisse und erzeugen häufig eine Vielzahl unspezifischer Alerts. Erst wenn Organisationen diese Informationen zusammenführen und in den richtigen Kontext setzen, entsteht ein belastbares Lagebild.
In einem Security Operations Center (SOC) passiert genau das: Analysten führen zunächst eine technische Triage nach Kriterien wie dem CVE-Score und der Wahrscheinlichkeit durch, dass Angreifer eine Schwachstelle tatsächlich ausnutzen (Exploitability). Die DORA-Einstufung eines IKT-Vorfalls als schwerwiegend erfolgt anschließend impact-basiert anhand definierter Kriterien/Schwellenwerte, beispielsweise Ausfallzeit, betroffene Kunden oder Transaktionen, Datenverlust oder wirtschaftliche Auswirkungen.
![]()
„Die größte Hürde liegt oft darin, die regulatorische Relevanz eines erkannten Angriffs richtig zu bewerten. DORA verlangt eine Business-Impact-basierte Klassifizierung von Sicherheitsvorfällen. Organisationen müssen dementsprechend einschätzen, welche geschäftlichen Auswirkungen ein Vorfall hat und ob daraus eine Meldepflicht entsteht.“
Jürgen Crasser, 8COM
Auslagerung unter DORA: Meldefristen, Dokumentation und der Faktor Zeit
DORA definiert enge Meldefristen für schwerwiegende ICT-Vorfälle. Finanzinstitute müssen eine Erstmeldung innerhalb von vier Stunden nach Einstufung (spätestens 24 Stunden nach Kenntnis), eine Zwischenmeldung spätestens 72 Stunden nach Erstmeldung und eine Abschlussmeldung spätestens einen Monat nach Zwischenmeldung erbringen. Das setzt voraus, dass Organisationen Vorfälle schnell erkennen und gleichzeitig strukturiert dokumentieren und bewerten. Eine lückenlose Dokumentation, etwa über ein Ticketsystem mit Zeitangaben, Entscheidungen, Maßnahmen und Ergebnissen, ist dabei operativ hilfreich und unterstützt auch die Berichts- und Prüfanforderungen.
Genau hier stoßen viele Institute an ihre Grenzen. Ressourcenmangel und fehlende Expertise erschweren es, die notwendige Geschwindigkeit und Analysetiefe intern rund um die Uhr aufrechtzuerhalten. Niedrige MTTD- und MTTR-Werte bleiben jedoch die Voraussetzung, um Meldefristen zuverlässig einzuhalten. Viele Organisationen bauen entsprechende Kapazitäten intern auf, etwa durch den Ausbau bestehender Sicherheitsabteilungen. Wer dafür jedoch weder ausreichende Ressourcen, Zeit oder geschultes Personal hat, kann diese Aufgaben an spezialisierte Dienstleister auslagern, die eine 24/7-Überwachung und -Reaktion sicherstellen.
Wer Sicherheitsaufgaben auslagert, muss unter DORA zusätzliche Anforderungen bei der Auswahl von ICT-Dienstleistern berücksichtigen. Die Verordnung definiert detaillierte Anforderungen an das Management von Drittanbieterrisiken. Finanzinstitute stellen sicher, dass ihre Dienstleister nachweislich hohe Sicherheitsstandards einhalten und die regulatorischen Vorgaben unterstützen. Anerkannte Zertifizierungen wie ISO 27001, SOC 2 oder eine Zertifizierung auf Basis des BSI IT-Grundschutzes bieten hier eine belastbare Grundlage. Sie weisen nach, dass ein Dienstleister strukturierte Sicherheitsprozesse etabliert hat und diese kontinuierlich aufrechterhält.
DORA weiterdenken: Vom Regelwerk zur Resilienzstrategie
Nachdem DORA geraume Zeit in Kraft ist, zeigt sich eine klare Entwicklung im Finanzsektor. Viele Organisationen haben regulatorische Anforderungen umgesetzt und gleichzeitig begonnen, ihre Sicherheitsarchitekturen operativ weiterzuentwickeln. Der Fokus verschiebt sich hin zu integrierten Sicherheitsmodellen, die Governance, Technologie und operative Prozesse miteinander verbinden.
In den kommenden Jahren verschärfen sich diese Anforderungen weiter. Bedrohungsorientierte Tests, strengere Vorgaben für das Drittanbietermanagement sowie detaillierte Nachweispflichten rücken stärker in den Fokus. Gleichzeitig steigt der Druck, Sicherheitsereignisse automatisiert zu analysieren und Incident-Response-Prozesse unter realistischen Bedingungen zu erproben. Organisationen, die diese Anforderungen frühzeitig in ihre Sicherheitsarchitektur integrieren, schaffen die Grundlage für belastbare Prozesse und nachweisbare operative Resilienz.
Cyberresilienz etabliert sich damit als dauerhafte Managementaufgabe. Sie erfordert Investitionen in Technologie, Prozesse und Expertise sowie eine enge Verzahnung zwischen IT, Security und Geschäftsbereichen. Entscheidend bleibt, was in der Praxis passiert: Wer Angriffe früh erkennt, richtig bewertet und konsequent reagiert, macht aus regulatorischen Anforderungen echte Handlungsfähigkeit – und stärkt die eigene Stabilität nachhaltig.
Über den Autor:
Jürgen Crasser ist Senior Architect & Strategist Cyber Resilience bei 8COM. Mit über 30 Jahren IT-Erfahrung in unterschiedlichen Rollen und Funktionen – vom System Engineer über Service Management bis hin zu Führungsaufgaben – verbindet er Strategie, Architektur und operativen Sicherheitsbetrieb. Seine Schwerpunkte: Cyber Resilience Assessments, SOC Operating Models, Incident Response Readiness, Management Enablement, Krisenmanagement sowie IT- und Cloud-Schnittstellen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
